Q76 — AWS SCS-C02 第1章
第 76/100 問 | ← 第1章
ある会社は、AWS Organizationsを使用して組織を作成する計画です。また、外部のIDプロバイダー(IdP)とユーザー管理を統合する必要があり、さらに組織の管理アカウントからすべてのAWSアカウントおよびアプリケーションへのアクセスを一元的に管理する必要があります。 これらの要件を満たすソリューションはどれですか?
- A. AWS Directory Serviceを外部IdPと連携して設定する。IAMポリシーを作成し、外部IdPからのユーザーに関連付ける。
- B. AWS IAM Identity Centerを有効化し、外部IdPをアイデンティティソースとして使用する。IAM Identity Centerを使用してパーミッションセットおよびアカウント割り当てを作成する。 ✓
- C. AWS Identity and Access Management(IAM)を設定し、外部IdPをIdPとして使用する。IAMポリシーを作成し、外部IdPからのユーザーに関連付ける。
- D. 組織の管理アカウントでAmazon Cognitoを有効化する。IDプールを作成し、外部IdPと関連付ける。IAMロールを作成し、IDプールに関連付ける。
正解: B. AWS IAM Identity Centerを有効化し、外部IdPをアイデンティティソースとして使用する。IAM Identity Centerを使用してパーミッションセットおよびアカウント割り当てを作成する。
解説
AWS Organizationsと外部IDプロバイダー(IdP)の統合およびマルチアカウント環境での集中アクセス管理の要件において、適切なソリューションはAWSのアイデンティティサービス機能との整合性が必要です。AWSドキュメントによると、IAM Identity Center(旧称:AWS Single Sign-On)は、複数のAWSアカウントおよびアプリケーションにわたるアクセスを一元管理するために設計されており、外部IdPをアイデンティティソースとしてサポートします。選択肢Bは、IAM Identity Centerを有効化して外部IdPと統合し、パーミッションセットでアクセス権限を定義し、アカウントへの割り当てを行うことで、一元管理要件を満たします。Directory Service、IAMの直接統合、Cognitoなどの他の選択肢は、外部IdPとの統合と同時にマルチアカウントアクセスの一元管理というコア要件を満たしません。選択肢Bが正解です。